私隱公署偕全球15個相關機構發聲明 關注社交媒體擷取數據問題

個人資料私隱專員公署聯同全球15個私隱或資料保障機構發布環球聯合聲明，關注社交媒體平台的數據擷取及私隱保障問題，並向業界提供進一步指引。

社交媒體平台大規模擷取個人資料。資料圖片

私隱專員鍾麗玲表示，社交媒體平台大規模擷取個人資料訓練人工智能系統，可引起重大的私隱問題，可導致個人資料在不知情和不同意的情況下於暗網出售，以致個人資料被用於針對性的網絡攻擊、身份盜竊，以及濫發直接促銷或垃圾郵件等。

她說，私隱專員公署作為環球私隱議會國際執法合作工作分組聯席主席，聯同其他機構發聯合聲明，是希望提醒社交媒體平台及其他載有可供公眾查閱個人資料的網站，有責任確保個人資料受到充分保障，免被非法數據擷取。

聯合聲明列出聯署機構對環球保障私隱的期望指引，包括機構應綜合使用多種保安措施，定期審視及更新，確保已考慮擷取技術及科技的發展；機構應考慮使用AI技術加強防禦非法數據擷取；若數據擷取是在獲准許的情況下進行，例如供商業或社福用途，機構應確保相關行為合法及符合合約條款；當機構准許第三方合法從所營運的平台收集公開的個人資料時，機構應考慮提供應用程式介面，以控制存取資料，以及偵測和減輕未獲授權的數據擷取；及機構使用個人資料開發AI模型時，應遵從相關資料保障和私隱法律，以及所適用的指引。

私隱專員鍾麗玲。資料圖片

香港兆基創意書院及香港專業進修學校去年分別發生涉及黑客入侵的資料外洩事故，私隱專員公署完成視察兩間教育機構的個人資料系統。私隱專員認為整體來說，兩間教育機構在處理學生及教職員的個人資料方面，符合《私隱條例》附表有關資料保安的規定。

個人資料私隱專員公署(圖片來源:星島日報)

視察結果顯示，兆基書院在資訊系統遭黑客入侵後，已採取多項技術性措施以加強資訊系統的保安，包括建立修補程式的管理程序、為帳戶的虛擬私人網絡（VPN）登入啟用雙重認證功能及設定高強度密碼。在存取管控方面，兆基書院採用「最小權限」及「角色為本」的存取管控機制。

私隱專員建議兆基書院，在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施，以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。

香港兆基創意書院去年發生涉及黑客入侵的資料外洩事故。 香港兆基創意書院圖片

公署表示，港專在事故發生後，已採取多項技術性措施以加強資訊系統的保安及偵測能力，並已落實建立個人資料私隱管理系統，委任專責人員擔任保障資料主任，以及為員工提供有關保障個人資料的培訓及資訊，提高員工網絡安全及防範可疑電郵的意識。

私隱專員建議港專，制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄，以及對資訊系統定期進行保安審計，以進一步保障所持有的個人資料。